Brute Force Attacks

Lembramos que na GMSITE já incluímos essa proteção ao seu Website.

Cada pessoa que já instalou o WordPress está em perigo de ataques de força bruta. De fato, os ataques de força bruta estão aumentando , e eles provavelmente só vão piorar. Então, o que isso significa para você? Você tem que parar de usar o WordPress e passar para uma dessas  outras opções de CMS? Céus, não! Significa apenas que você precisa de um plano de segurança para proteger seu site WordPress. Com algumas precauções, o seu painel será uma verdadeira fortaleza, e nem mesmo o Super-Homem pode forçar o seu caminho para dentro.

Recomendações oficiais contra ataques de força bruta

Como os ataques de força bruta são bastante comuns, só faz sentido que o WordPress Codex tenha recomendações e práticas recomendadas para você seguir . É altamente recomendável que você se familiarize com essa lista e os leve em consideração para sua própria proteção. Eles oferecem proteções baseadas no usuário, bem como opções para o seu servidor. Vale a pena o seu tempo para ler tudo isso.

O que você pode fazer

Há muita coisa que você pode fazer para criar um site seguro do WordPress. Existem plugins que protegem você, e há apenas bons hábitos que você pode criar para ter certeza de que, mesmo que você seja alvo de ataques de força bruta, você estará seguro.

Não use ‘Admin’ como nome de usuário

Isso não deveria ser dito, mas tem que ser dito de qualquer maneira. Não use ‘admin’ como nome de usuário . É fácil de fazer e costumava ser uma prática bastante comum. Não é mais. Portanto, ao instalar o WP, use praticamente qualquer outro nome (fora do seu domínio ou título do site) como seu usuário administrador.

Se você já tem o  administrador como usuário em seu site,  mude isso . Realmente não importa o que, mas você precisa mudar isso. Apesar do que a seção Editar Usuário diz, você pode alterar nomes de usuários. Você pode usar um plugin , ou você pode editar seu banco de dados WordPress (que é mais fácil do que você imagina).

Use senhas fortes

Eu sinto que esta é uma harped suficiente, então eu não vou demorar. Não use senha como sua senha nem  senha123. Se você tiver a opção, use o botão Generate Random Password. Instale o plug-in Force Strong Password para que todos que se registrarem em seu site estejam seguros, não apenas você. Porque mesmo se  você  seguir as melhores práticas, isso não significa que todos façam ou desejem.

Também sugerimos um cofre de senha separado como o LastPass ou o 1Password para acompanhar a aleatoriedade.

Mova o seu Login de / wp-admin com um Plugin

Você pode alterar seu URL de várias maneiras, mas como quase tudo no WordPress, ele se resume a usar um plug-in ou editar manualmente o código.

Por padrão, todos nós logamos no WordPress em  / wp-admin . E quando se trata de ataques de força bruta, este é o primeiro ataque deles. Eles não podem tentar forçar a entrada pela porta se não houver porta, certo? Ao mover seu URL de login para longe de  / wp-admin , você está basicamente se escondendo dos invasores. Isso é o que equivale a sua sala de pânico do WP.

Dois dos melhores plugins são o Loginizer e o WPS Hide Login . Embora o Loginizer tenha  muito mais funcionalidade do que simplesmente mover esse URL, o WPS Hide Login faz uma coisa e funciona bem. Tudo depende da sua configuração quanto ao que funciona melhor. Você também pode conferir nosso artigopara outras opções também.

Além disso, provavelmente não é uma boa idéia usar / login ou / admin  ou qualquer coisa semelhante ao original. Pense em algo que pode ser exclusivo do seu site ou talvez algo como  / employees ou  / staff . Enquanto essas são palavras comuns, os bots de força bruta provavelmente não estão programados para acertá-los.

Mover manualmente seu login de / wp-admin

Se você é o tipo de usuário que prefere manter o uso do plug-in ao mínimo , você também pode alterar o URL manualmente. É um pouco mais complicado, mas não é tão complicado assim. Nós quebramos o processo para você aqui . Você precisará se sentir à vontade para editar arquivos PHP, como  wp-config.php e seu  arquivo .htaccess .

Há várias maneiras de realizar isso também, como você pode ver neste tópico de estouro de pilha , bem como nesta postagem do WordPress.org .

Use a autenticação de dois fatores

A autenticação de dois fatores (2FA) é praticamente necessária nos dias de hoje para uma experiência online verdadeiramente segura. Basicamente, o 2FA se resume a você verificando se está tentando fazer login colocando um código único ou clicando em um link exclusivo que é enviado para você e apenas para você. Talvez seja por e-mail, texto ou até mesmo através de um porta-chaves. Esse segundo fator (o nome de usuário / senha sendo o primeiro) o autentica como, bem, você.

Felizmente WordPress não está querendo para plugins 2FA, e você tem algumas opções verdadeiramente fantásticas lá fora. Dois dos maiores plugins de segurança lançaram plugins autenticadores, ambos altamente recomendados. Se você é um usuário premium WordFence, você pode obter autenticação através do seu plugin (2FA é uma guia nas configurações). UpdraftPlus tem dois plugins de login: Keyy, um autenticador sem senha  (como Clef, se você já usou isso) e o apropriadamente chamado Two Factor Authentication . Além disso, o plugin do Loginizer que mencionei acima também oferece o 2FA por meio de aplicativos como o Authy e o Google Authenticator (para usuários premium).

Limitar tentativas de login

A razão pela qual os ataques de força bruta são tão eficazes contra o WordPress é que as tentativas de login são ilimitadas por padrão. Você nunca fica bloqueado digitando a senha incorreta muitas vezes. É por isso que a força bruta é um meio efetivo de obter acesso – se baterem com a cabeça na parede o suficiente, eventualmente, ela fará um buraco nela. Ao limitar o número de vezes que alguém pode tentar fazer login, você efetivamente evita o impacto do ataque. Não é tudo, mas você minimiza as chances de o seu site ser comprometido e infectado por malware .

O plugin mais popular para fazer isso é o Limit Login Attempts , e você também pode obter a opção através do WordFence ou Loginizer . Ou qualquer outro número de plugins de segurança. Estes são tão fáceis de configurar, não há razão para não ter um ativado.

Excluir instalações não utilizadas do WordPress

Eu sou culpado disso. Você é culpado disso. Quase todo mundo em todos os lugares é culpado disso. Instalamos o WordPress em nossos servidores apenas para brincar, testar um plug-in ou algum outro objetivo obscuro e único, e depois nunca mais tocamos nele. Talvez esteja em um subdomínio realmente estranho e ofuscado do seu domínio primário (1kdnvrNK033r2mk.seudomínio.com, por exemplo). O ponto é que ainda está lá . Mesmo se você não estiver usando, é um site WordPress ao vivo.

E atacantes de força bruta estão caçando para eles. Geralmente eles não têm plugins de segurança, as senhas não são fortes e os nomes de usuários não foram alterados do padrão. E enquanto eles não têm nenhuma informação real sobre eles, eles dão aos hackers acesso ao seu host e servidores. E isso é mau mojo.

Portanto, quando você precisar de um site de teste, exclua-o depois ou use um ambiente de desenvolvimento local . Caso contrário, você está pintando um alvo nas costas.

Plugins de Segurança

Com tudo isso em mente, você também deve estar executando um plugin de segurança geral do WordPress. Isso incluirá muitas coisas diferentes, dependendo do plugin em si, mas, em geral, você terá verificações de malware, proteção de login, 2FA, firewalls de aplicativos web, reparos de arquivos, backups, filtros de spam, listas brancas e negras de IP e muito mais. Mais. Temos acesso a algumas opções realmente surpreendentes gratuitas (que são mais do que suficientes para a maioria das pessoas), bem como algumas ofertas premium surpreendentes.

Enquanto a decisão final de instalação é sua, é imperativo que você instale um plugin de segurança. Todo mundo tem um que é parcial, e no final, o importante não é o que você instalou, mas que você tem um instalado.

Seja seguro lá fora

Com o surgimento de ataques de força bruta e apenas maus modos gerais na internet, você não pode ser cuidadoso o suficiente, honestamente. Qualquer um dos plug-ins listados acima é capaz de protegê-lo de hackers e botnets quando combinado com as melhores práticas descritas acima (e as adicionais listadas no Codex). Mantenha sua cabeça em seus ombros, seus olhos abertos, e suas senhas fortes, e esses ataques de força bruta não serão capazes de danificar a armadura do seu site.

O que você usa para proteger seus sites WordPress da crescente ameaça de ataques de força bruta?

Artigo caracterizado imagem por phungatanee / shutterstock.com

Leave A Comment

What’s happening in your mind about this post !

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

×
Olá!
Entre em contato comigo pelo WhatsApp!